Lo ngại các thiết bị y khoa bị hacker tấn công

Thứ Ba, 16/12/2014, 13:30
Mối lo ngại về tính dễ bị tấn công của các thiết bị y khoa - như là dụng cụ tiêm insulin cầm tay, máy khử rung, thiết bị theo dõi thai nhi và máy scanner - đang tăng khi các cơ sở y tế ngày càng phụ thuộc vào những máy móc có khả năng kết nối với nhau, với hệ thống lưu trữ hồ sơ của bệnh viện và với Internet.

Mặc dù hiện nay chưa có báo cáo nào khẳng định bọn tội phạm chiếm quyền kiểm soát các thiết bị y khoa để tấn công bệnh nhân, song Bộ An ninh Nội địa Mỹ (DHS) vẫn cho tiến hành cuộc điều tra về khả năng tiềm ẩn hết sức nguy hiểm này đối với khoảng 20 loại thiết bị y khoa phổ biến. Hollywood cũng có những kịch bản tồi tệ nhất, như là âm mưu ám sát phó tổng thống bằng cách chiếm quyền điều khiển máy trợ tim của người này trong bộ phim "Homeland". Tuy nhiên nhà nghiên cứu Đại học Michigan, ông Kevin Fu trấn an: "Tin tốt là, hiện nay chúng ta chưa thấy có những mối đe dọa hay âm mưu tấn công các thiết bị y khoa".

Máy đo điện tâm đồ (phải) và thiết bị insulin cầm tay.

Theo nhà khoa học Ken Hoyme - làm việc tại Công ty An ninh mạng Adventium Labs tại Minneapolis (Mỹ) - tin xấu là hacker có thể lợi dụng các thiết bi y khoa để xâm nhập hệ thống dữ liệu bệnh viện nhất là khi chúng không được cập nhật những phần mềm an ninh mới nhất. Ken Hoyme cho rằng trong thế giới thật, hacker có thể muốn đánh cắp dữ liệu bệnh nhân để bán trên thị trường đen bởi "chúng muốn có tiền" hơn là tấn công bệnh nhân. Bệnh viện trở thành mục tiêu bởi vì hacker muốn thu thập thật nhiều dữ liệu như là số an sinh xã hội, thông tin về tài chính… Giới chuyên gia an ninh cho biết dữ liệu bệnh viện có giá trị cao hơn thông tin về thẻ tín dụng gấp 10 lần trên thị trường đen. Tháng 10 vừa qua, Cơ quan Quản lý Dược phẩm và Thực phẩm Mỹ (FDA) kêu gọi các nhà sản xuất thiết bị y khoa nên có bức tường an ninh cho sản phẩm chống lại hành động xâm nhập của hacker - như là chỉ người dùng hợp pháp mới sử dụng được sản phẩm và được phép cập nhật phần mềm. 

Một lý do quan trọng khiến cho thiết bị y khoa dễ bị tấn công xâm nhập là chúng sử dụng các hệ điều hành đã bị khai tử như là Windows XP, nghĩa là không được hỗ trợ an ninh nữa. Yếu điểm khác của các thiết bị y khoa là chúng không sử dụng mật khẩu để dễ dàng kết nối với nhân viên bệnh viện trong tình huống cần cấp cứu. Bọn hacker có thể dễ dàng xâm nhập một số hệ thống dữ liệu bệnh viện không được bảo vệ đầy đủ, khi một nhân viên nhấp chuột vào đường dẫn trong email mà không biết nó ẩn chứa mã độc. Sau khi xâm nhập được vào mạng nội bộ bệnh viện, mã độc bắt đầu lây lan và gây rối loạn hệ thống.

Chuyên gia an ninh mạng cũng phát đi cảnh báo về mức độ tin cậy của những thiết bị y khoa mua bán trên Internet. Billy Rios - là chuyên gia cố vấn an ninh mạng, cho biết ông dễ dàng mua được thiết bị đo điện tim đã qua sử dụng với giá chỉ 25USD trên Internet! Một số máy tiêm insulin cầm tay dành cho  bệnh nhân đái tháo đường và các hệ thống theo dõi bệnh nhân cũng có giá chưa đến 100USD! Theo Billy Rios, những thiết bị trôi nổi này rất dễ bị kẻ xấu lợi dụng để tấn công. Trong khi đó, giới chức bệnh viện thường tỏ ra miễn cưỡng khi phải công khai với bệnh nhân về mức độ bảo đảm an ninh của thiết bị y khoa.

Trong chương trình thử nghiệm an ninh thông tin kéo dài 2 năm, nhóm chuyên gia làm việc cho Essentia - hệ thống y tế lớn ở miền Trung Tây nước Mỹ - tìm thấy nhiều thiết bị dễ dàng trở thành mồi ngon cho bọn hacker. Ví dụ, họ phát hiện phần cài đặt tiêm thuốc của máy tiêm insuline có thể bị điều khiển từ xa để thay đổi liều lượng, máy khử rung có thể bị kiểm soát để tạo ra những sốc tùy tiện, và hồ sơ bệnh án bị sửa đổi. Giới chức y tế cấp bang (DHHS) cũng không thể nói được có bao nhiêu cơ sở y tế ở Mỹ sử dụng chuyên gia an ninh mạng. Mike Ahmadi, Giám đốc phát triển kinh doanh toàn cầu thuộc Công ty An ninh mạng Codenomicon, cho rằng các cơ sở bán thiết bị y khoa coi nhẹ biện pháp bảo mật cho sản phẩm bởi không có động cơ thúc đẩy đầu tư.

Tuy nhiên, một vài bệnh viện ở Mỹ, bao gồm Mayo Clinic, đã bắt đầu có một số điều khoản về bảo đảm an ninh cho các sản phẩm y khoa trong các hợp đồng mua thiết bị. Tại Trung tâm Ung thư MD Anderson Đại học Texas ở thành phố Houston, bất cứ ứng dụng phần mềm mới nào cũng phải được phê chuẩn bởi đội an ninh mạng của bệnh viện. Lessley Stoltenberg, lãnh đạo đội an ninh, cho biết các nhà sản xuất thiết bị y khoa cũng phải đáp ứng một loạt yêu cầu về an ninh của bệnh viện, như là: Thiết bị có mã hóa hay không? Có bảo đảm danh tính duy nhất cho người dùng hay không? Nhà sản xuất có cung cấp các gói phần mềm an ninh luôn được cập nhật hay không? Codenomicon là công ty chuyên bán phần mềm để dò tìm mã độc giúp phát hiện những lỗ hổng an ninh. Khách hàng của Codenomicon bao gồm hơn 6.500 nhà chế tạo thiết bị y khoa ở Mỹ.

Duy Ân (tổng hợp)
.
.